Internasjonalt arbeid og samarbeid

Vi har over flere år jobbet målrettet internasjonalt med temaer og saker som har mye å si for personvernet i Norge. Over de siste årene har vi etablert en solid posisjon i relevante internasjonale fora. Det har gitt gode påvirkningsmuligheter, og vi er med på å sette agendaen for personvern internasjonalt.

Deltakelse i Personvernrådet med ekspertgrupper

Det europeiske personvernrådet (European Data Protection Board – EDPB, Personvernrådet) er et uavhengig EU-organ. Rådets viktigste oppgaver er å utarbeide retningslinjer og uttalelser om hvordan personvernforordningen skal forstås, vedta bindende beslutninger i enkelte grense­overskridende saker, og gi råd til lovgiverne i EU. Personvernrådet bidrar slik til en ensartet anvendelse av regelverket. I noen tilfeller kan rådet overprøve de enkelte datatilsynsmyndighetenes vurderinger i enkeltsaker. Det er derfor viktig for Datatilsynet å delta aktivt i Personvernrådet for å ivareta norske interesser, og vi følger stort sett alle rådets ekspertundergrupper og arbeidsgrupper.

Datatilsynet deltar også aktivt i utarbeidelsen av Personvernrådets retningslinjer og uttalelser. I 2024 var vi med på å skrive uttalelsen om såkalte «samtykk eller betal-modeller» (Pay or ok).

Internasjonal saksbehandling

Personvernforordningen kapittel VII og VIII inneholder regler om saksbehandlingen ved grense­overskridende behandling av person­opplysninger. I denne typen saker må alle berørte datatilsyns­myndigheter identifiseres, og det utpekes en ledende tilsynsmyndighet ut fra hvor virksomheten har sin hovedetablering. Den ledende tilsynsmyndigheten undersøker så saken og legger frem et utkast til avgjørelse som de berørte datatilsyns­myndighetene eventuelt kan komme med innsigelser mot.

I rapporteringsåret ble vi identifisert som berørt datatilsynsmyndighet i 373 nye saker, og ledende tilsynsmyndighet i 17 nye saker. Dette kommer i tillegg til flere saker fra tidligere år som fortsatt er pågående. Det er imidlertid en del usikkerhet om disse tallene siden ikke alle tilsyns­myndighetene bruker samme fremgangsmåte for å melde inn saker, og de reelle tallene er sannsynligvis noe høyere.

Internasjonal saksbehandling krever at vi kontinuerlig følger med på andre lands saker, og gir tilbakemelding der det er nødvendig. Tilsvarende må også vi involvere andre lands datatilsynsmyndigheter på en god måte i sakene vi behandler som er grenseoverskridende.

Overføring av personopplysninger til land utenfor EØS

I utgangspunktet er det ikke tillatt å overføre personopplysninger ut av EØS. Det finnes imidlertid en rekke unntak fra denne regelen. Unntakene er kompliserte, og i noen tilfeller kreves det en godkjenning fra Datatilsynet.

Datatilsynet kan godkjenne bindende virksomhetsregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS. Dette krever imidlertid samarbeid med andre datatilsyns­myndigheter, samt at BCR-søknaden må legges frem for Personvernrådet for en uttalelse.

Ved utgangen av 2024, hadde vi som ledende tilsynsmyndighet ni åpne søknader om godkjenning av BCR som overføringsgrunnlag. I tillegg har vi gjennomgått fire BCR-søknader hvor en tilsyns­myndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet.

Øvrig internasjonalt samarbeid

Datatilsynet deltar også i en rekke andre internasjonale fora. De mest sentrale er:

• Global Privacy Assembly – den største globale sammenslutningen av datatilsynsmyndigheter
• Nordisk samarbeid – årlige møter og løpende samarbeid med datatilsynsmyndighetene i Danmark, Finland, Færøyene, Island, Sverige og Åland
• International Working Group on Data Protection in Technology – et forum for personvernspørsmål i fremvoksende teknologier
• Global Privacy Enforcement Network – deling av informasjon om og koordinering av tilsynsaktiviteter.